新型 ZHtrap 僵尸網絡使用蜜罐找到更多受害者

Netlab 360的研究人員發現了一個新的基于Mirai的僵尸網絡，稱為ZHtrap，該僵尸網絡實現了蜜罐來查找更多受害者。

ZHtrap使用四個漏洞進行傳播，專家指出，僵尸網絡主要用于進行DDoS攻擊和掃描活動，同時集成了一些后門功能。

ZHtrap使用以下Nday漏洞進行攻擊：

• JAWS_DVR_RCE
• NETGEAR
• CCTV_DVR_RCE
• CVE-2014-8361

ZHtrap支持多種架構，包括x86，ARM和MIPS。與Mirai相比，ZHtrap僵尸網絡存在多種差異，例如，它對指令使用校驗和機制，在掃描傳播方面，它增加了真實設備和蜜罐之間的區別，對XOR加密算法進行了重新設計，并且它可以將受損的設備放入一個簡單的蜜罐中，并實施一組過程控制機制。

專家注意到，該僵尸程序借用了Matryosh DDoS僵尸網絡的某些實現。

研究人員分析了ZHtrap bot的多個樣本，并根據其功能將其分為3個版本。v2版本基于v1并增加了漏洞利用功能，而v3基于v2并刪除了網絡基礎架構。

ZHtrap僵尸網絡通過集成用于收集IP地址的掃描IP收集模塊來使用蜜罐，這些IP地址用作進一步傳播活動的目標。

“與我們之前分析過的其他僵尸網絡相比，ZHtrap最有趣的部分是它能夠 將受感染的設備變成蜜罐。” 閱讀Netlab 360發表的分析。“安全研究人員通常將蜜罐用作捕獲攻擊的工具，例如收集掃描，漏洞利用和樣本。但是這次，我們發現ZHtrap通過集成掃描IP收集模塊使用了類似的技術，并且所收集的IP被用作其自己的掃描模塊中的目標。”

ZHtrap偵聽23個指定端口并識別連接到這些端口的IP地址，然后使用這些IP地址嘗試通過利用這四個漏洞并注入有效負載來破壞它們。

一旦僵尸程序接管了設備，它就會通過使用Tor與C2基礎架構進行通信來下載并執行其他有效負載，從而從Matryosh僵尸網絡中獲取提示。

研究人員總結說：“許多僵尸網絡都實現了蠕蟲狀的掃描傳播，當訪問ZHtrap的蜜罐端口時，其來源很可能是被另一個僵尸網絡感染的設備。該設備可以被感染，肯定存在漏洞，我可以使用掃描機制再次進行掃描。這可能是我植入我的機器人樣本的好機會，然后借助過程控制功能，我可以完全控制自己，這不是很棒嗎？”